Chính sách b o m t cho Web Serverả ậ
Các máy ch Web (Webserver) luôn là nh ng vùng đ t màu m cho các hacker tìm ki m cácủ ữ ấ ỡ ế
thông tin giá tr hay gây r i vì m t m c đích nào đó. Hi m ho có th là b t c cái gì t ki uị ố ộ ụ ể ạ ể ấ ứ ừ ể
t n công t ch i d ch v , qu ng cáo các website có n i dung không lành m nh, xoá, thay đ iấ ừ ố ị ụ ả ộ ạ ổ
n i dung các file hay ph n m m ch a mã nguy hi m. Bài vi t d i đây đ c trình bày nhộ ầ ề ứ ể ế ướ ượ ư
nh ng l i khuyên cho vi c đ m b o an toàn cho các máy ch Web: ữ ờ ệ ả ả ủ
V Patches và Updates:ề
•Microsoft Baseline Security Analyzer ph i đ c ch y th ng xuyên đ ki m tra hả ượ ạ ườ ể ể ệ
th ng và ki m tra các b n c p nh tố ể ả ậ ậ
•Các b n vá l i ph i đ c c p nh t cho Windows, IIS và .NET Framework.ả ỗ ả ượ ậ ậ
•Đăng ký nh n tin v i Microsoft Security Notification Service t i :ậ ớ ạ
http://www.microsoft.com/technet/sec…tin/notify.asp
Các Tool cho IIS
•IISLockdown ph i đ c setup và ch y trên serverả ượ ạ
•URLScan ph i đ c setup, tinh ch nh và ch y trên serverả ượ ỉ ạ
V các ng d ngề ứ ụ
•Ph i disable các ng d ng không c n thi tả ứ ụ ầ ế
•Các ng d ng ph i đ c ch y v i account có quy n t i thi uứ ụ ả ượ ạ ớ ề ố ể
•Các ng d ng nh FTP, SMTP, và NNTP ph i disable n u không s d ngứ ụ ư ả ế ử ụ
•Ph i t t Telnetả ắ
•ASP .NET Service State ph i đ c disable và không dùng b i b t kì ng d ng khác.ả ượ ở ấ ứ ụ
Vào Start > Run > gõ services.msc, tìm service ASP .NET Service State đ ki m traể ể
ch c ch n service này đ c disable.ắ ắ ượ
V Protocolsề
•WebDAV ph i đ c t t n u không s d ng ho c ph i đ c sucure n u c n. Thông tinả ượ ắ ế ử ụ ặ ả ượ ế ầ
v WebDAV, các b n có th xem thêm t i Microsoft Knowledge Base article 323470,ề ạ ể ạ
“How To: Create a Secure WebDAV Publishing Directory“
•TCP/IP ph i đ c config k .ả ượ ỹ
•NetBIOS and SMB ph i đ c disabled (đóng các ports 137, 138, 139, và 445).ả ượ
V Accountsề
•Nh ng account không s d ng đ n ph i đ c xóa bữ ử ụ ế ả ượ ỏ
•Ph i t t (disable) account Guest.ả ắ
•Account Administrator ph i đ c đ i sang tên khác, và ph i đ t password ph c t pả ượ ổ ả ặ ứ ạ
•Account IUSR_MACHINE ph i đ c t t n u không dùng đ nả ượ ắ ế ế
•N u các ng d ng c n quy n anonymous access, các b n ph i create accountế ứ ụ ầ ề ạ ả
anonymous này v i quy n th p nh t có thớ ề ấ ấ ể
•Nh ng account anonymous không đ c phép có quy n write vào th m c web vàữ ượ ề ư ụ
không đ c truy c p vào nh ng ng d ng b ng command lineượ ậ ữ ứ ụ ằ
•Các account ch y ng d ng ASP.NET ph i đ c thi t l p v i quy n th p nh t. (Chạ ứ ụ ả ượ ế ậ ớ ề ấ ấ ỉ
áp d ng khi b n không dùng account ASPNET – account m c đ nh ch y ng d ngụ ạ ặ ị ạ ứ ụ
ASP.NET v i quy n m c đ nh th p nh t)ớ ề ặ ị ấ ấ
•Ph i có chính sách v account và password ph c t p thi t l p trên sever.ả ề ứ ạ ế ậ
•Ph i remove group Everyone trên policy “Access this computer from the network”ả
•Các account qu n tr ph i đ c đ m b o tính b o m t, không chia s thông tin cácả ị ả ượ ả ả ả ậ ẽ
account này.
•Null sessions (anonymous logons) ph i đ c t tả ượ ắ
•Group Administrator không t n t i quá 2 accounts.ồ ạ
•Remote logon ph i đ c đ m b o secure cho account Administrators.ả ượ ả ả
V Files và c u trúc th m cề ấ ư ụ
•T t c các partition ph i đ c setup NTFSấ ả ả ượ
•Th m c Web ph i đ c đ t partition khác v i partition ch a files h th ngư ụ ả ượ ặ ở ớ ứ ệ ố
•Log files ph i đ c đ t th m c ho c partition khác v i 2 partition ch a Web vàả ượ ặ ở ư ụ ặ ớ ứ
Files h th ngệ ố
•Group Everyone ph i đ c thi t l p đ không có quy n truy c p vào th m c ch aả ượ ế ậ ể ề ậ ư ụ ứ
files h th ng nh \Windows hay \Windows\System32 … đ ng th i cũng không cóệ ố ư ồ ờ
quy n truy c p vào Th m c hay partition ch a Webề ậ ư ụ ứ
•Account Tnternet Guest ph i đ c thi t l p tuy t đ i không có quy n write vào thả ượ ế ậ ệ ố ề ư
m c ch a Webụ ứ
•Remote IIS Administration ph i đ c xóa hay disableả ượ
(\Windows\System32\Inetsrv\IISAdmin).
•Resource Kit Tools, Utilities, và các SDKs ph i đ c xóa b hay disableả ượ ỏ
•Các Sample c a IIS ph i đ c xóa (\Windows\Help\IISHelp, \Inetpub\IISSamples).ủ ả ượ
Shares
•Nh ng shares không c n thi t ph i đ c removeAll unnecessary shares are removedữ ầ ế ả ượ
(including default administration shares).
•Group Everyone không đ c thi t l p đ có th truy c p vào các sharesượ ế ậ ể ể ậ
•Các Administrative shares (nh C$ D$ E$ … và Admin$) ph i đ c xóa n u không c nư ả ượ ế ầ
thi t (Ch có Microsoft Management Server (SMS) và Microsoft Operations Managerế ỉ
(MOM) s d ng các Shares trên).ử ụ
Ports
•C m truy xu t internet cho Web Server (đóng các outbound port 80, 8080 … ho c cóấ ấ ặ
th remove Internet Explorer)ể
•Intranet traffic ph i đ c mã hóa (ví d mã hóa v i SSL)ả ượ ụ ớ
Registry
•Remote registry ph i t t.ả ắ
•SAM ph i đ c b o v (HKLM\System\CurrentControlSet\Control\LSA\NoLMHash).ả ượ ả ệ
Các chính sách sau ch áp d ng cho StandAlone Serverỉ ụ
Logging
•Login failed ph i đ c server ghi nh n.ả ượ ậ
•IIS log files ph i đ c thay đ i đ ng d n và ph i đ c b o v .ả ượ ổ ườ ẫ ả ượ ả ệ
•Dung l ng log files ph i đ c thi t l p thích h p.ượ ả ượ ế ậ ợ
•Log files ph i đ c ki m tra th ng xuyên.ả ượ ể ườ
•Các truy c p vào Metabase.bin ph i đ c ghi nh n.ậ ả ượ ậ
•IIS log ph i đ c configured d ng W3C.ả ượ ạ
Sites and Virtual Directories
•Web sites ph i đ c đ t partition khác v i partition ch a system (non-systemả ượ ặ ở ớ ứ
partition.)
•“Parent paths” ph i đ c disable.ả ượ
•Các virtual directories nguy hi m nh IISSamples, IISAdmin, IISHelp, và các Scriptsể ư
virtual directories ph i đ c removeả ượ
•MSADC virtual directory (RDS) ph i đ c remove ho c đ c b o vả ượ ặ ượ ả ệ
•Các Virtual directories cho phép truy c p anonymous access ph i disable quy n Write vàậ ả ề
Excute
•Ch set quy n write cho nh ng folders yêu c u có authentication (dùng SSL n u c nỉ ề ữ ầ ế ầ
thi t)ế
•FrontPage Server Extensions (FPSE) ph i đ c remove n u không dùng đ n.ả ượ ế ế
Script Mappings
•Nên chuy n (mapping) các Extensions không dùng đ n sang 404.dll (ví d nh .idq,ể ế ụ ư
.htw, .ida, .shtml, .shtm, .stm, idc, .htr, .printer).
•Nh ng extension không c n thi t c a ASP.NET nên mapped đ nữ ầ ế ủ ế
“HttpForbiddenHandler” Machine.config.ở
ISAPI Filters
•Nh ng ISAPI filters không c n thi t hay không dùng đ n ph i đ c removedữ ầ ế ế ả ượ
IIS Metabase
•Truy c p vào Metabase ph i đ c ghi nh n và ph i đ c gi i h n b ng cách dùngậ ả ượ ậ ả ượ ớ ạ ằ
NTFS permissions (%systemroot%\system32\inetsrv\metabase.bin).
•IIS banner information ph i đ c gi i h n s d ngả ượ ớ ạ ử ụ
Other Check Points
•IISLockdown và URLScan tool ph i đ c setup và ch y trên serverả ượ ạ
•Remote administration ph i đ c b o v và mã hóa (SSL). Nên thi t l p low sessionả ượ ả ệ ế ậ
time-outs và account lockouts.
H n ch DOS và Nh ng đi u không nên th c hi n Web Serverạ ế ữ ề ự ệ ở
•Ph i setup Web Server nh m t server riêng bi tả ư ộ ệ
•N i đ t server ph i đ c b o v nghiêm ng t (physically protect)ơ ặ ả ượ ả ệ ặ
•Thi t l p các anonymous accounts khác nhau cho t ng application khác nhauế ậ ừ
•Không nên install IIS server trên m t domain controllerộ
•Không nên k t n i internet cho IIS server khi ch a thi t l p k các chính sách securityế ố ư ế ậ ỹ
•Không cho phép Group Anyone truy c p Locally. Logon Locally ch nên có 1 group duyậ ỉ
nh t là Administratorsấ
![Câu hỏi trắc nghiệm Mạng máy tính: Tổng hợp [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251001/kimphuong1001/135x160/15231759305303.jpg)
![Câu hỏi ôn tập An toàn mạng môn học: Tổng hợp [mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250919/kimphuong1001/135x160/30511758269273.jpg)
![Giáo trình Công nghệ mạng không dây (Nghề Quản trị mạng máy tính, Trình độ Cao đẳng) - Trường Cao đẳng Thủ Thiêm [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250916/kimphuong1001/135x160/13561758013095.jpg)
